据9月18日消息,美国国家标准与技术研究院(NIST)发布了《多位置环境中云原生应用中访问控制的零信任架构模型》。该指南概述了通过部署ZTA来保护基于云的应用程序的措施,以实现对本地或云中资源的安全访问。指南建议组织制定网络层和身份层ZTA策略,并配置技术组件以支持不同策略的部署。
02/ 用于统一政策部署的企业
基础设施层
管理平面可以定义和部署一致、统一的网络协议,为整个企业的所有服务制定策略。除了全局控制平面和管理平面,ZTA 的企业基础设施包括本地控制平面,以及一套各种类型的代理,这些代理是其各自的数据平面。如图显示了整个基础设施层的示意图,其中包括统一的政策部署以实现 ZTA。
03/ 多层次政策提供的灵活性
成功的企业 ZTA 需要多层次的政策。多层次政策应切实可行地实施,且不会影响当前的合规性做法,还存在其他层级的政策。多层策略的灵活性在于网络层策略可以相对静态,而堆栈中更高层的身份层策略可以是动态的,因为如下图所示,实施身份层策略也是一个更加灵活的过程,允许新的策略能力,例如以身份和应用级动作和动词来编写政策。
04/ 另一种应用基础架构方案—中央协调基础设施
考虑到另一种常见的应用场景,即内部的三层应用程序。该应用程序可从外部访问通过 DMZ。这种方案包括边缘网关的入口网关和出口网关。网关两侧设有防火墙。每个服务代表三层应用的前端和后端必须具备侧车代理来执行与服务间呼叫请求有关的策略。而这需要一个企业级的基础设施来发挥全球控制的作用,它被指定为中央协调基础设施,如下图所示。
05/ 结语
该指南为实现云原生应用平台的 ZTA 提供指导的企业环境中的微服务。在多集群和多云部署中托管应用程序。ZTA包括部署工件,执行零信任原则,这只有通过强大的灵活、可扩展和细粒度的政策,涵盖所有企业资源。策略框架中提出了由网络层和身份层政策组成的网络层政策,以实现这些目标。该指南定义、部署和执行这些政策所需的工件已经完成。讨论了网络层策略和身份层策略的示例。网络层还说明了这些政策在现代企业应用基础设施中的适用性。最后,比较了属于两级的政策的优势和劣势限制,以及身份层政策下对实现区域贸易协定的关键作用,强调现代云原生应用基础架构。(苏红敬 赵丽莉)
声明:本文来自青岛信息安全法学研究所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
